El grupo de piratería de LockBit que cifró los datos de Royal Mail buscó un rescate de 65,7 millones de libras esterlinas de la empresa, una demanda que la junta directiva del grupo postal parece haber rechazado, preparando así el escenario para una posible fuga de información de la empresa a gran escala.
Las negociaciones con los piratas informáticos fracasaron después de más de tres semanas de idas y venidas que incluyeron discusiones sobre los ingresos de Royal Mail y los desafíos comerciales de la empresa, según un registro de las conversaciones publicado por LockBit.
Los piratas informáticos exigieron un nuevo negociador y han amenazado con liberar grandes cantidades de datos de Royal Mail si las negociaciones fracasan por completo. El principal proveedor de servicios postales del Reino Unido ha estado compitiendo para restaurar las entregas de paquetes en el extranjero desde que el grupo LockBit derrotó sus defensas en línea.
LockBit dijo que exigía el 0,5 por ciento de los ingresos de «Royal Mail International», presumiblemente en referencia a las ventas anuales de la empresa matriz International Distribution Services, lo que resultó en una discusión entre el negociador no identificado de Royal Mail y los piratas informáticos.
“Bajo ningún concepto le pagaremos la absurda cantidad de dinero que ha exigido”, dijo el negociador, según los chats filtrados. “Esta es una cantidad que nuestra junta nunca podría tomar en serio”.
Anteriormente, cuando los piratas informáticos le pidieron que estimara los ingresos de la empresa, el negociador se lamentó: “Todo lo que hemos tenido son pérdidas. . . hay varios artículos en Google sobre nuestra situación financiera y lo mal que está actualmente”.
Aunque el lucrativo negocio de paquetería internacional de IDS sigue siendo rentable, Royal Mail, con sede en el Reino Unido, está perdiendo dinero debido a que sufre la caída del negocio de cartas y varios meses de huelga.
Royal Mail se negó a comentar sobre la autenticidad de los chats filtrados. No es raro que durante las negociaciones de ransomware los piratas informáticos liberen estas comunicaciones para aumentar la presión sobre sus víctimas. Los chats fueron reportados por primera vez por ITpro.co.uk
“Dado que hay una investigación en curso, la policía ha advertido que sería inapropiado hacer más comentarios sobre este incidente”, dijo un portavoz.
Los grupos de ransomware a veces manipulan o falsifican partes de las negociaciones que lanzan, y no fue posible confirmar que estas fueran las últimas comunicaciones entre las dos partes.
Royal Mail aún tiene que confirmar oficialmente que LockBit violó sus defensas cibernéticas, cifró sus datos y ahora los está reteniendo.
Pero sus servicios internacionales quedaron paralizados después de que fuera atacado a principios de enero. Royal Mail ha estado buscando soluciones alternativas y los clientes ahora pueden enviar paquetes y cartas al extranjero utilizando su sitio web. Pero los británicos siguen sin poder enviar paquetes al extranjero desde las oficinas de correos de todo el país, mientras que la entrega de envíos internacionales puede «tardar un poco más de lo habitual», advirtió Royal Mail en línea.
Los supuestos piratas informáticos son un jugador relativamente nuevo, pero prolífico, en un modelo de sindicación delictiva llamado «Ransomware como servicio», donde los piratas informáticos comparten métodos y malware personalizado con piratas informáticos jóvenes, e intervienen para ayudar en las negociaciones cuando atrapan un objetivo importante.
Royal Mail es el mayor objetivo conocido del grupo, que los investigadores de seguridad predicen que será el más grande de su tipo en el mundo en 2023. Royal Mail parece haberse alejado de las negociaciones después de recibir un descuento del 12,5 por ciento sobre el rescate original.
El negociador de Royal Mail le pidió a LockBit que esperara una respuesta de su directorio alrededor del 3 de febrero, y luego no parece haber regresado a la mesa de negociaciones.
“Lo que podemos ver en estas conversaciones es qué tan preparado está LockBit cuando se trata de estas negociaciones. Lo saben todo sobre la víctima: ingresos, tamaño e incluso las regulaciones pertinentes en el país de la víctima”, dijo Shmuel Gihon, investigador de seguridad de CyberInt que ha seguido de cerca al grupo.
En un momento, el negociador parece haber pedido ayuda para descifrar un archivo grande, diciendo que permitiría a Royal Mail enviar algunos equipos médicos cruciales, pero LockBit lo rechazó, quien sospechaba de un plan para descifrar archivos cruciales que permitiría a Royal Mail Correo para restaurar la funcionalidad.
“Eres un negociador muy inteligente; agradezco tu experiencia en dilaciones y engaños”, dijo el negociador de LockBit.